Критерии для поиска событий

Для поиска событий в режиме конструктора доступны следующие критерии:

• Общие сведения:
  • Host – имя хоста.
  • HostIP – IP-адрес хоста.
  • EventType – тип события.
  • UserName – имя пользователя.
  • OsFamily – семейство операционной системы.
  • OsVersion – версия операционной системы, используемой на хосте.
• Свойства TAA:
  • IOAId – идентификатор правила TAA (IOA).
  • IOATag – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.
  • IOATechnique – техника MITRE.
  • IOATactics – тактика MITRE.
  • IOAImportance – степень важности, присвоенная событию, выполненному по этому правилу TAA (IOA).
  • IOAConfidence – уровень надежности в зависимости от вероятности ложных срабатываний правила.
• Свойства файла:
  • CreationTime – время создания события.
  • FileName – имя файла.
  • FilePath – путь к директории, в которой располагается файл.
  • FileFullName – полный путь к файлу. Включает путь к директории и имя файла.
  • ModificationTime – время изменения файла.
  • FileSize – размер файла.
  • MD5 – MD5-хеш файла.
  • SHA256 – SHA256-хеш файла.
  • SimilarDLLPath – вредоносная DLL, помещенная в директорию по стандартному пути обхода, чтобы система загрузила ее раньше, чем исходную DLL.
• Процессы Linux:
  • LogonRemoteHost – IP-адрес хоста, с которого был выполнен удаленный вход.
  • RealUserName – имя пользователя, назначенное ему при регистрации в системе.
  • EffectiveUserName – имя пользователя, которое было использовано для входа в систему.
  • FileOwnerUserName – имя владельца файла.
  • RealGroupName – имя группы пользователя.
  • EffectiveGroupName - имя группы пользователя, которое используется для работы.
  • Environment – переменные окружения.
  • ProcessType – тип процесса.
  • OperationResult – результат операции.
• Запущен процесс:
  • PID – идентификатор процесса.
  • ParentFileFullName – путь к файлу родительского процесса.
  • ParentMD5 – MD5-хеш файла родительского процесса.
  • ParentSHA256 – SHA256-хеш файла родительского процесса.
  • StartupParameters – параметры запуска процесса.
  • ParentPID – идентификатор родительского процесса.
  • ParentStartupParameters – параметры запуска родительского процесса.
• Удаленное соединение:
  • HTTPMethod – метод HTTP-запроса. Например, Get, Post или Connect.
  • ConnectionDirection – направление соединения (входящее или исходящее).
  • LocalIP – IP-адрес локального компьютера, с которого была произведена попытка удаленного соединения.
  • LocalPort – порт локального компьютера, с которого была произведена попытка удаленного соединения.
  • RemoteHostName – имя компьютера, на который была произведена попытка удаленного соединения.
  • RemoteIP – IP-адрес компьютера, на который была произведена попытка удаленного соединения.
  • RemotePort – порт компьютера, на который была произведена попытка удаленного соединения.
  • URl – адрес ресурса, к которому произведен запрос HTTP.
  • TlsVersion – версия протокола.
  • TlsSni – Server Name Indication, имя ресурса, к которому производится подключение.
  • TlsCertificateMd5 – MD5 TLS-сертификата.
  • TlsCertificateSha1 – SHA1 TLS-сертификата.
  • TlsCertificateSubjectNames – основное и дополнительные DNS-имена.
  • TlsCertificateIssuerName – название организации владельца сертификата.
  • TlsCertificateSerialNumber – серийный номер сертификата.
  • TlsCertificateCheckResult – результат проверки сертификата.
  • TlsCipherSuite – наборы шифрования сертификата.
  • TlsCertificateValidFrom – дата, от которой отсчитывается срок годности сертификата.
  • TlsCertificateValidTo – дата, после которой истекает срок годности сертификата.
• DNS:
  • DnsServerIpAddress – IP-адрес сервера DNS.
  • DnsQueryDomainName – имя домена из запроса.
  • DnsAnswerData – данные ответа.
  • DnsQueryTypeId – ID типа записи.
• LDAP:
  • LDAPSearchFilter – фильтр поиска.
  • LDAPSearchDistinguishedName – уникальное имя.
  • LDAPSearchAttributeList – список атрибутов поиска.
  • LDAPSearchScope – область поиска.
• Именованный канал:
  • PipeName – именованный канала.
  • PipeOperationType – тип операции с именованным каналом.
• WMI:
  • WmiOperationType – тип операции WMI: Активность WMI или Имя потребителя событий WMI.
  • WmiHostName – имя машины.
  • WmiUserName – имя пользователя.
  • WmiNamespaceName – пространство имен.
  • WmiQuery – текст запроса.
  • WmiFilterName – фильтр событий.
  • WmiConsumerName – имя потребителя событий.
  • WmiConsumerText – исходный код потребителя событий.
• Изменение в реестре:
  • RegistryKey – путь к ключу реестра.
  • RegistryValueName – имя параметра реестра.
  • RegistryValue – значение параметра реестра.
  • RegistryOperationType – тип операции с реестром.
  • RegistryPreviousKey – предыдущий путь к ключу реестра.
  • RegistryPreviousValue – предыдущее имя параметра реестра.
• Журнал событий ОС:
  • WinLogEventID – идентификатор типа события безопасности в журнале Windows.
  • LinuxEventType – тип события. Данный критерий используется для операционных систем Linux и macOS.
  • WinLogName – имя журнала.
  • WinLogEventRecordID – идентификатор записи в журнале.
  • WinLogProviderName – идентификатор системы, записавшей событие в журнал.
  • WinLogTargetDomainName – доменное имя удаленного компьютера.
  • WinLogObjectName – имя объекта, инициировавшего событие.
  • WinlogPackageName – имя пакета, инициировавшего событие.
  • WinLogProcessName – имя процесса, инициировавшего событие.
• Обнаружение и результат обработки:
  • DetectName – имя обнаруженного объекта.
  • RecordID – идентификатор сработавшего правила.
  • ProcessingMode – режим проверки.
  • ObjectName – имя объекта.
  • ObjectType – тип объекта.
  • ThreatStatus – режим обнаружения.
  • UntreatedReason – статус обработки события.
  • ObjectContent (for AMSI events too) – содержание скрипта, переданного на проверку.
  • ObjectContentType (for AMSI events too) – тип содержимого скрипта.
• Интерактивный ввод команд в консоли:
  • InteractiveInputText – текст, введенный в командную строку.
  • InteractiveInputType – тип ввода (консоль или канал).
• Изменен файл:
  • FileOperationType – тип операции с файлом.
  • FilePreviousPath – путь к директории, в которой файл располагался ранее.
  • FilePreviousName - предыдущее имя файла.
  • FilePreviousFullName – полное имя файла, включающее предыдущий путь к директории, в которой файл располагался ранее, и / или предыдущее имя файла.
  • DroppedFileType – тип измененного файла.
• Внедрение кода и доступ к процессу:
  • AccessMethod – метод доступа.
  • InjectAddress – адресное пространство процесса-реципиента.
  • InjectedDllName – имя внедренной DLL.
  • ModifiedStartupParameters – измененные параметры запуска.
  • InjectedDllPath – путь к внедренной DLL.
  • CallTrace – трассировка вызова.
  • TargetStartupParameters – команда,с которой был запущен процесс-реципиент.
• Доступ к процессу:
  • AccessOperationType – тип операции: Открыт доступ к процессу или Продублированный дескриптор.
  • ProccessAccessRights – запрошенные права доступа к процессу.
  • HandleSourceStartupParameters – команда запуска исходного дескриптора.
  • HandletargetStartupParameters – команда запуска целевого дескриптора.
• Другие:
  • File type – тип файла.
  • TlsJa3Md5 – десятичные значения байтов в пакете приветствия клиента для следующих полей: версия TLS, набор шифров, список расширений протоколов TLS, эллиптические кривые и форматы эллиптических кривых.
  • TlsJa3sMd5 – десятичные значения байтов в пакете приветствия сервера для следующих полей: версия TLS, набор шифров и список расширений протоколов TLS.
  • DotNetAssemblyName – имя сборки .NET.
  • DotNetAssemblyFlags – флаги сборки .NET.

Вы можете посмотреть список полей для поиска событий в режиме исходного кода, скачав файл.

В начало